Cyberangreb mod flere kommuner

DISCLAIMER: Jeg arbejder ikke for nogen af de ramte kommuner og artiklen her snakker altså i generelle termer og jeg laver nogle kvalificerede antagelser som muligvis kan være forkerte.

Flere medier rapporterer at flere kommuner er ramt af ransomware: (et mallware produkt der inficerer din computer, krypterer harddisken og kræver penge for at de-kryptere de igen)

For det første har der været meget lidt info om hvordan det er sker, umiddelbart vil jeg antage at der har været tale om ganske almindelig masseudsendt ransomware, dvs. der er ikke tale om en målrettet trussel.

Jeg tror mailen er sendt til en uerfaren bruger der uden at vide hvad han/hun gjorde har startet et program i mailen … altså _intet_ nyt i det. Der er heller ikke noget nyt i at folk der kender hinanden, i dette tilfælde kommuner, er blevet ramt samtidig. Det er netop ofrenes mail-kontakter der anvendes til videresendelse af spam.

Medierne får det til at fremstå (sikkert med god hjælp fra kommunens PR folk) som en mægtig fjende der målrettet er gået efter kommunen – hvilket ikke er tilfældet. Det betyder også at deres undskyldning falder til jorden – de er ikke oppe imod en mægtig fjende, de er oppe imod dumme brugere der ikke forstår at betjente deres maskiner på en sikker måde.

De er oppe imod en administrator der ikke forstår at sikre kommunens data på en tilpas effektiv måde, vi er oppe imod kommuner der ikke mener at IT Sikkerhed er tilpas vigtigt til at der skal bruges nok resourcer på det.

  1. Angrebet skulle slet ikke have været lykkedes i første omgang
    Uddan jeres medarbejdere, især medarbejdere med adgang til data. De skal vide hvad de må og hvad de ikke må. Angrebbet skulle være stoppet allerede der.
  2. Infrastrukturen skulle have fange den udførbare fil.
    Filer der skal udføres på maskinerne skal godkendes af en system administrator, almindelige medarbejdere skal ikke have lov at downloade en .exe fil eller noget som helst anden med en fjern chance for at kunne indeholde udførbar-kode.
  3. Medarbejderens PC Skulle ikke have haft adgang til at ændre alt
    Umiddelbar skriveadgang til mountede netværksdrev skal bare ikke være en mulighed, igen jeg kender ikke den konkrete løsninger. Men der findes mange forskellige systemer der kan løse dette.
  4. Masse-overskrivningen burde være detekteret automatisk
    Det kan godt være at Microsoft’s server ikke kan det, men så må det kobles på som et trediepartsplugin.
  5. Backup og snapshots reder dagen.
    Hvis det her var sket på et ordentligt sikret netværk havde vi fået vores filer tilbage ved at genetablere backupen, hvis de sidste 24 timers arbejde er tilpas vigtigt tager vi automatisk snap-show on-write og dermed havde vi rullet ændringerne tilbage på minutter.

Vi er altså oppe på 5 åbenlyse fejl som kommunerne selv har begået, i forbindelsen med løsningen af problemet er fejlene næsten ligeså slemme:

  1. Hvis dine filer er så vigtige så betal dummebøden!!!
    Du har ingen reel chance for at bryde krypteringen, hvis du laver network attack, debugger app’en og ham der har designet den er en idiot … så kan du måske knække den.Hvis ikke … så har du tabt.Der behøves nærmest ingen viden for at lave sådan et crypto-attack der ikke kan knækkes indenfor vores levetid.
  2. Fyr de ansvarlige medarbejdere
    En fejl af denne kaliber falder tilbage på IT Afdelingen og personen der startede malwaren på kommunens netværk. Jeg ener ikke nødvendigvis de skal fyres – men IT Chefen skal ihvertfald udskiftes. Han har ikke været sit job voksent, overhovedet.Han skal degraderes til IT Administrator og sendes på kursus, og vi skal have en ny IT Chef eller evt. en decideret Sikkerhedschef.Den menige medarbejder skal have en skriftlig advarsel, og sendes på kursus i sikkerhed for ikke IT-Folk, og nu vi er igang kan vi sende resten af afdelingen med.
  3. Sagen er meldt til politiet.
    For almindelige mennesker lyder det måske meget ansvarligt, for IT Sikkerhedsfolk ? Not so much … politiet kan intet gøre – og vi får intet ud af at finde den ansvarlige. Det eneste resultat er at vi spilder en masse resourcer og vi kommer videre til normaldrift.Rent teknisk er det rigtigt at forbryderen sider ude i verden og er skyldig, men praktisk set er skylden intern.Det her svigt er så alvorligt at det kan sammenlignes med at bankdirektøren glemmer nøglen til boksen på den lokale bar.

Min pointe mere kort:

Det her er kommunens egen skyld, det er den lokale IT Afdeling og KUN dem der kunne have stoppet det her fra at ske.

IT Sikkerhedsberedskabet i danske virksomheder og offentlige enheder stinker vi er mange der har råbt op om det i årtier, og vi er blevet ignoreret hen af en stribe.

Din opgave som almindelig borger er nu at stille krav til kommunen, til dit el-værk og til din tandlæge om at dokumentere at de har styr på sikkerheden. Kan eller vil de ikke det, så skift, råb op – gør verden opmærksom på det.

Det bliver ikke bedre før det gør ondt at svigte!